Хакеры украли $625 млн при взломе криптоигры Axie Infinity благодаря фейковому предложению о работе — The Block Статьи редакции
Инженер компании попался на обман, ответил на вакансию в несуществующей компании и получил оффер с вредоносным ПО.
В марте 2022 года хакеры атаковали сайдчейн Ronin, который используется в игре Axie Infinity, и украли около $625 млн в криптовалюте. Правительство США позже связало инцидент с северокорейской хакерской группой Lazarus, но не сообщило о деталях расследования.
- По данным источников The Block, злоумышленники смогли украсть деньги, заразив вирусом компьютер одного из инженеров. Вредоносное ПО оказалось внутри оффера от фиктивной компании.
Предложения о работе рассылали сотрудникам Sky Mavis (разработчик Axie Infinity) от имени фейковой фирмы через LinkedIn. Один из инженеров заинтересовался предложением. После нескольких раундов собеседований ему предложили работу с «чрезвычайно щедрым компенсационным пакетом».
- Фальшивый оффер отправили в виде PDF-документа. После того, как инженер его скачал и открыл, шпионское ПО проникло в системы Ronin. Оттуда хакеры смогли атаковать и захватить четыре из девяти валидаторов, защищавших сеть.
Ещё в апреле Sky Mavis отмечала, что её команда постоянно подвергается продвинутым фишинговым атакам в соцсетях, и признавала, что одного из сотрудников всё же скомпрометировали. Однако компания не раскрывала подробностей и не упоминала, как именно кто-то мог повестись на уловки мошенников.
- Cредства из Ronin могут вывести, если пять из девяти валидаторов это одобрят, рассказывала компания Elliptic, анализирующая блокчейны. Хакеры завладели закрытыми криптографическими ключами, принадлежащими пяти валидаторам, чего было достаточно для кражи активов.
Однако изначально хакеры имели контроль лишь над четырьмя валидаторами — доступ к пятому они получили через Axie DAO, децентрализованную автономную организацию, созданную для поддержки игровой экосистемы.
pdf-файл может содержать вирус? отстал я от жизни :(
в pdf, zip, docx и xlsx можно засунуть что угодно. И оно еще и запустится без спроса, само. Либо просто вчплывёт стандартное вордовское окошко с каким-то там текстом и кнопками "да"/"отмена" и очевидно почти все не глядя жмут "да"
а многие другие форматы могут только с виду казаться тем, что написано. Например, обычный джипег при двойном клике по нему может оказаться архивом, который уже пускает червей, пока ты ждешь, когда картинка откроется...
Страшно жить, если боишься быть взломанным... лучше вообще интернет отключить и все дырки в компьютере строительной пеной запенить.
У doc\xls если отключен запуск скриптов - разве что-то выполнится?
А что внутре у файла ххх.pdf может быть опасное, тоже скрипты какие-то?
Да, в PDF есть функционал «fill & sign» — когда вы должны заполнить выделенные поля и подписать документ. Там внутри обычный JavaScript.
Чтобы вирус не сработал, нужен либо очень старый PDF viewer, который этот функционал не поддерживает, либо новый, который знает о вирусах. Но есть целый ряд просмотрщиков, которые функционал поддерживают, а на вирусы не проверяют.
Комментарий недоступен
Браузер по дефолту блочит активное содержимое.
Комментарий недоступен
ты пишешь
чего ожидать от браузеров? Они точно подхватят любые скрипты и запустят.это утверждение, причем неверное
Вот это бред
Комментарий недоступен
просмотр pdf через браузеры (хром, фаерфокс) как раз таки безопасен. Насчёт IE, edge - не знаю.
А старые просмотрщики имеют нефикшенные бекдоры .
Любое активное содержимое опасно, pdf изначально поддерживал активные формы (их заполнение и отправку на сервер), то есть допустим приходит вам анкета от отдела кадров и в ней нужно указать свои данные и нажать кнопку «отправить», сейчас такое мало кто использует, хотя крупные компании мб используют.
В doc/xls может быть какая-то уязвимость в определенных версиях, либо ссылка на сайт со скриптами.
Также часто еще бывает, что в почту приходит файл .exe у которого иконка pdf либо другого файла, а на конце счет-фактура.pdf.exe и кто-то невнимательный может открыть такое.
Страх-то какой :) только .тхт, только хардкор
Это смотря чем .txt открывать будете :) https://www.linux.org.ru/forum/talks/13316199
да песец, я ж им пользовался.
Теперь вот думай-гадай - а нет ли чего скрытого в дефолтном виндовом Блокноте :)
ага, даже в защитных системах есть дыры, а тут блокнот)
нет, это как раз тот юзкейс, о котором я говорил:
просто вчплывёт стандартное вордовское окошко с каким-то там текстом и кнопками "да"/"отмена" и очевидно почти все не глядя жмут "да"Сначала так было, были вирусы на VBA. Потом сделали более секюрно, чтобы включить — нужно было прямо запариться. Специально так делали, чтобы подавить вирусню. Но недавно почему-то вернули как было, просто "да" в окошке. Теперь исполнение скриптов активируется сполпинка, и если не смотреть на какие всплывающие "да" по-привычке нажимаешь — можно влететь в вирус :)
ну с этим я знаком, да, отключено у меня. И отображение имен файлов выставлено "с расширениями". Но вот пдф - прям неприятненько шокирован :)
И там же в новости вроде бы ИТшник полноценный, плюс антивирус наверное какой-никакой - и такой факап.
так и хакеры тоже полноценные, а не скрипт-кидди :)
Мы как раз проводим подобные учебные атаки на организации. ИТ специалисты запускают макросы и заполняют фишинговые формы не реже бухгалтеров. 40-60% стандартный процент попадаемости.
Проблема возникает по двум причинам:
1) "Я всё знаю и не попадусь"
2) "В нашей организации сильная защита и можно не бояться".
Комментарий недоступен
я хз кто сидит. Но базу Яндекс.еды упер кто-то из сотрудников же? это не вирус.
А на маке такое возможно?
Видимо, нет
Зря вы так думаете))
Можете пояснить пожалуйста? Я действительно не в теме
https://www.iphones.ru/iNotes/15-samyh-rasprostranennyh-virusov-dlya-mac-kak-ih-nayti-i-obezvredit-01-25-2022
Спасибо
И не только в компьютере
Зачем запенить? Можно открывать в гугл-доках. Если вирус и запустится, то у них на сервере ;Р
чтобы даже при желании ничего не воткнуть в него, ни проводов, ни флешек :) в комментарии же говорилось стремление к безопасности, а если в устройство что-то втыкают — безопасности от мимохакеров никакой не будет :)
ну а гуглодок помимо их сервера ещё у вас в браузере и раз в столетие и гугл ломают и находят эксплоиты ;)